Detección de la Campaña de Ataque DEEP#GOSU: es Probable que el APT Kimsuky de Corea del Norte esté Detrás de los Ataques Usando Malware PowerShell y VBScript
Tabla de contenidos:
El nefario grupo de ciberespionaje norcoreano APT Kimsuky ha estado en el centro de atención en el panorama de amenazas cibernéticas al menos desde 2012. Una nueva campaña ofensiva multi-etapa afiliada a Kimsuky rastreada como DEEP#GOSU llega a los titulares, representando amenazas para los usuarios de Windows y utilizando malware de PowerShell y VBScript para infectar sistemas específicos.
Detectar la Campaña de Ataques DEEP#GOSU
El año pasado estuvo marcado por una intensificación considerable de la actividad de los actores APT, lo que refleja la influencia directa de las tensiones geopolíticas existentes en el dominio cibernético. Esta vez, expertos en ciberseguridad advierten a las organizaciones y usuarios individuales sobre una campaña maliciosa en curso por el infame APT Kimsuky, que cada vez más apunta a usuarios de Windows para obtener acceso extenso y furtivo al entorno durante la operación DEEP#GOSU.
Para mantenerse proactivo e identificar posibles intrusiones en las primeras etapas de su desarrollo, los defensores cibernéticos requieren soluciones avanzadas de detección y caza de amenazas combinadas con algoritmos de detección basados en comportamiento que aborden las TTPs del adversario. La plataforma SOC Prime para defensa cibernética colectiva ofrece una amplia colección de herramientas de vanguardia para potenciar su investigación de amenazas mientras agrega una pila de detección dedicada a la detección de DEEP#GOSU.
Pulse el botón Explorar Detecciones a continuación e inmediatamente profundice en una colección de reglas Sigma relevantes compatibles con 28 soluciones SIEM, EDR, XDR y Data Lake. Todas las reglas están mapeadas a MITRE ATT&CK v14.1 y acompañadas de inteligencia sobre amenazas detallada junto con metadatos extensos.
Para ayudar a los profesionales de la seguridad a adelantarse a los ataques lanzados por APT Kimsuky, la plataforma SOC Prime agrega una selección más amplia de reglas que cubren la actividad maliciosa asociada con el actor de amenazas en el centro de atención. Simplemente busque en el Marketplace de Detección de Amenazas por la etiqueta ‘Kimsuky’ basada en el identificador del grupo o siga este enlace.
Análisis de la Campaña de Malware DEEP#GOSU
El equipo de Investigación de Amenazas de Securonix ha arrojado recientemente luz sobre la operación ofensiva en curso identificada como DEEP#GOSU, que muy probablemente está vinculada al infame grupo norcoreano Kimsuky . Los actores de amenazas afiliados han sido observados en múltiples campañas dirigidas contra Corea del Sur con un fuerte enfoque en actividades de ciberespionaje.
En la última campaña, los adversarios aprovechan una novedosa cadena de ataque sofisticada basada en scripts, empleando múltiples etapas de PowerShell y VBScript para infiltrarse de manera encubierta en sistemas Windows y recopilar datos sensibles. Las capacidades ofensivas involucran exfiltración de datos, registro de teclas, monitoreo de portapapeles y ejecución de cargas útiles dinámicas. Los adversarios mantienen la persistencia a través de tareas programadas y emplean scripts de PowerShell autodesencadenantes y software RAT para obtener control remoto total.
Notablemente, el proceso de infección se basa en servicios legítimos como Dropbox o Google Docs para el C2, permitiendo a los adversarios disfrazar sus operaciones maliciosas dentro del tráfico normal de la red mientras evaden la detección. Además, el empleo de estos servicios en la nube para alojar las cargas útiles facilita la actualización de la funcionalidad del malware o la entrega de módulos complementarios.
La cadena de infección se activa al abrir un archivo adjunto de correo electrónico armado con un archivo ZIP. Este último contiene un archivo de acceso directo engañoso disfrazado como un archivo PDF. El archivo LNK malicioso viene integrado con un script de PowerShell junto con un documento PDF señuelo. El script se comunica con una infraestructura de Dropbox controlada por los atacantes para obtener y ejecutar otro script de PowerShell.
El script de PowerShell subsiguiente recupera otro archivo de Dropbox. Este último es un ensamblado .NET en forma binaria que es un RAT de código abierto llamado TruRat (también conocido como TutRat o C# R.A.T.). Además de este malware, el script de PowerShell también recupera un archivo VBScript dañino, que está diseñado para ejecutar comandos en el sistema comprometido y establecer tareas programadas para la persistencia.
Además, el VBScript empleado en esta campaña de malware abusa de Google Docs para obtener dinámicamente datos de configuración para la conexión de Dropbox. Esto permite a los adversarios modificar la información de la cuenta sin alterar el script directamente. El script de PowerShell descargado puede recopilar información completa del sistema y enviar estos datos mediante una solicitud POST a Dropbox para su exfiltración. Funciona como una puerta trasera, otorgando control sobre los hosts comprometidos mientras registra continuamente la actividad del usuario.
Para minimizar los riesgos y el impacto del malware furtivo usado en la sofisticada campaña DEEP#GOSU y prevenir efectivamente amenazas similares, se recomienda a los defensores aplicar las mejores prácticas de seguridad, como evitar descargar archivos o adjuntos de fuentes externas, monitorear continuamente el entorno para detectar actividades sospechosas y mejorar la cobertura de detección.
Con el aumento significativo de ataques sofisticados por parte de APT Kimsuky, que representan una amenaza potencial para organizaciones en varios sectores industriales, incluidas entidades gubernamentales, los defensores están buscando formas de implementar estrategias de ciberseguridad preventivas para contrarrestar a tiempo las intrusiones APT dirigidas. Aprovechando Attack Detective de SOC Prime, los ingenieros de seguridad pueden elevar la postura de ciberseguridad de la organización al identificar oportunamente los puntos ciegos de defensa cibernética, identificar los datos adecuados para recopilar para abordar estas brechas y optimizar el ROI de SIEM mientras priorizan los procedimientos de detección antes de que los adversarios tengan la oportunidad de atacar.
